Официальный интернет-магазин Panasonic пересылает пароль в открытом виде и в копию 3 адресатам

[blind_oracle]

Я, конечно, извиняюсь, но как вы увидели то, что написано в поле Blind Carbon Copy?
Оно предназначно лишь для обработки в почтовом сервере, такого заголовка в письмах быть не должно.

[Piskov]

А еще я вижу всех друзей, кто заходит к вам на стену :-).

Подозреваю, какой-нибудь плохо сформированный вручную заголовок дал такой эффект. Вот хедеры, если кто-то в теме: pastebin.com/tUyB0j1w

[blind_oracle]

Я думаю, что кто-то там либо решил подшутить над этими товарищами или насолить им.
Заголовок BCC не должен быть по стандарту в письме ни под каким соусом, только в адресах передаваемых RCPT TO серверу.

Так что панаслоник что-то нечистое творит :)

[Mnemonik]

Это не правда.
«BCC:» может по RFC содержаться в письме (там довольно расплывчатая формулировка что адреса указанные в этом заголовке не могут быть раскрыты другим получателям), но, безусловно, только если вы в этом BCC как получатель. Причем если в BCC несколько получаетелей оттуда должны быть убраны все кроме вас.
Судя по гуглу такой странный эффект как у автора может дать конец строки, разделяющий заголовки, который не воспринят почтовым сервером как конец строки. Например в скрипте формирующейм e-mail используется "\n", а почтовый сервер разделяет строки по "\r\n". В итоге для него все эти заголовки — одна длинная строка, и он просто отправит его как текст от «MAIL FROM:» к «RCPT TO:» указаных при хэндшейке. «BCC:» конечно эти люди при этом не получат, но остается вопрос, с чего это они вообще скриптом туда вставлены на получение?..

[achekalin]

Да, желание насолить многое может объяснить. Чисто потроллить товарищей кривым заголовком — забавный подход.

Вспомнилась по ассоциации история:

Один из чуваков с работы жаловался, что его ложки постепенно исчезают из столовой фирмы. Он привез уже 6 штук, из которых осталось только 2. Остальные сотрудники придумали план:

Каждый, кто слал ему email, должен был добавить внизу сообщения, белым текстом (то есть невидимым, пока его специально не подсветить): “ЛОЖКА ЛОЖКА ЛОЖКА ЛОЖКА ЛОЖКА ЛОЖКА”.

Мы занимались этим несколько недель (у него был GMAIL аккаунт) и он постепенно начал сходить с ума: каждый веб-сайт, на который он заходил, показывал ему объявления о продаже ложек и столовых приборов! Он думал, что Google начал читать его мысли… ©

[3al]

Соцсети сделали людей ленивее. Теперь можно свести людей с ума без посторонней помощи.

[Arcpool]

А Google что читает почту юзеров?

[gregox]

Да (робот читает), это отключаемая опция.

[Piskov]

Вам понравится апдейт в конце статьи.

[blind_oracle]

Небось разработку этого чудо-магазина они аутсорсили каким-нибудь вундеркиндам-студентам.
Либо чем-то обидели разработчиков и они им пасхальных яиц оставили :)

[dsx]

Поле BCC обрабатывается (ну или как в данном случае не обрабатывается или обрабатывается неправильно) на почтовом сервере. Возьмусь предположить, что либо испольузется какой-то исключительно убогий почтовый сервер написанный на коленке безграмотным школьником, либо админ настолько криворук, что умудрился сломать то, что обычно работает само «из коробки». А может быть и всё сразу.

[blind_oracle]

Ну, там не совсем так — если корявый почтовый клиент в письмо добавит заголовок BCC вместо того, чтобы только обозначить получателей в RCPT TO, то сервер этот заголовок сохранит скорее всего.

[dsx]

Судя по "(SecurityGateway 3.0.2)" там всё очень, очень, очень плохо.

[Piskov]

Они еще и в письме после смены пароля присылают еще одну ссылку на смену пароля (см. апдейт в конце статьи). Письмо уходит в копию тем же людям.

[dalamber]

Поддерживаю и делаю ставку на криворукого админа. Например, ему поступила задача: «пусть все письма копируются на Олю, Вадика и Алёшу(нашего SEO директора). Ну и сделай так, чтобы пользователи ни о чем не подозревали конечно же.». Вот админ и сделал как умел.

[Dimmerg]

Забыли слово «достойных людей»

[nerudo]

Не вполне понятно откуда у вас во входящем сообщении поле BCC — оно ведь должно удаляться, копия-то недаром скрытая

[mwizard]

Заменят cc на bcc, делов-то.

UPD: А, они уже — не обратил внимания :)

[elky]

Это на случай, если вы пароль забыли!

[Goodkat]

Это скрытая реклама Эпла — их новая ОС «три десятки» Йосемити настолько крута, что показывает указанных в BCC адресатов!

[achekalin]

Зато их бытовая техника и электроника как были, так и остаются лучшими по соотношению «цена-качество». Сравните какую-ниюудь бритву или, там, фен от Панаса и от Брауна с Филипсом — ничего, кроме ухмылки больше продукция последних у вас не вызовет. С дизайном/стилем, да, есть некие проблемы, впрочем, довольно характерные для японских брендов.

[sayber]

У меня на даче телевизор panasonic, телефон на чердаке, оба из конца 80-х начала 90-х.
А вообще, почти у каждой фирмы есть и плохая и хорошая техника.
Мультиварка одной марки, микроволновка другогой, холодильник так для меня вообще только LG, и т.д.
Я выбираю технику (ну кроме холодильника) по качеству, внешнему соответствию интерьера, удобству пользовании и полезности площадей.

P.S.
Магазин на bitrix, подробные комментарии, нормальная структура кода, аж читать приятно.

[achekalin]

Точно.

А мне вот что делать: всякий раз, как брал технику от Панаса, попадалась удачная. Нет, не вся бытовая техника дома от них, но что от них — то нравится. При этом в Панасе не работаю :), и покупаю в магазине, а не получают проплаченную с их главного секретного склада. Так что, видимо, наши с вами модели потребления совпадают

Но минусы, как ни пародоксально, мне падают со скоростью, будто меня в тайные агенты Панаса на Хабре записали. И будто я тут с одной целью — обелить контору и доказать тихой сапой, что пароль в открытом виде и с кучай ящиков в копии — это вообще не проблема ))

P.S. Пароли по открытой почте — это вообще немного не сильно надежно. Еще менее умно их копиями отсылать кому угодно. Нужно тебе логировать что угодно — делай это редко, тихо, и смотри, что делаешь, я так понимаю. Да, и отключай логирование при первой возможности.

[aik]

Либо они вас прочитали, либо одно из двух. :)
Никаких bcc в заголовках.

Received: from mxfront7h.mail.yandex.net ([127.0.0.1])
by mxfront7h.mail.yandex.net with LMTP id 9QrOxH8Z
for <somename@yandex.ru>; Tue, 14 Oct 2014 07:09:26 +0400
Received: from sg.panasonic.ru (sg.panasonic.ru [37.16.84.10])
by mxfront7h.mail.yandex.net (nwsmtp/Yandex) with ESMTP id cPrhsLPsS8-9PF8ArdB;
Tue, 14 Oct 2014 07:09:25 +0400
X-Yandex-Front: mxfront7h.mail.yandex.net
X-Yandex-TimeMark: 1413256165
Message-Id: <20141014070926.9PF8ArdB@mxfront7h.mail.yandex.net>
To: undisclosed-recipients:;
X-Yandex-Uniq: abb03d7f-5f56-40ed-b51b-bcf40104caa9
X-Yandex-Spam: 1
Received: from sg.panasonic.ru ([37.16.84.29])
by panasoniceplaza.ru (ru.panasonic.com)
(SecurityGateway 3.0.2)
with SMTP id SG001245441.MSG
for <somename@yandex.ru>; Tue, 14 Oct 2014 07:09:31 +0400
Date: Tue, 14 Oct 2014 07:10:50 UT
Subject: =?utf-8?B?0KDQtdCz0LjRgdGC0YDQsNGG0LjRjyDQsiDQktC40YDRgtGD0LDQu9GM0L3QvtC8INC80LjRgNC1IHd3dy5wYW5hcw==?=
=?utf-8?B?b25pY2VwbGF6YS5ydQ==?=
From: admin@panasoniceplaza.ru
Reply-To: admin@panasoniceplaza.ru
X-Priority: 3 (Normal)
X-MID: 0.1 (14.10.2014 07:10:50)
X-EVENT_NAME: NEW_USER
Content-Type: text/html; charset=utf-8
Content-Transfer-Encoding: 8bit
Return-Path: ePlaza.Noreply@ru.panasonic.com
X-Yandex-Forward: 6f135aec3e7c7171e3276eb0180bb667

[achekalin]

panasoniceplaza — это вообще официальный Панас? А то у меня когда-то от их сайта сложилось ощущение, что это просто частный магазин, который старательно маскируется под официальный, и которого русский сайт Панаси тихо пиарит, поскольку своего как-то нет.

Просто домен такой… созвучный, но не тот. Почему-то Сони продает на sony.ru, или на store.sony.ru (грубо говоря), а тут не store.paasonic.ru (или .com), а так, что-то похожее.

[aik]

eplaza.panasonic.ru у них реальный домен магазина.
На panasoniceplaza.ru редирект. Да и контактные данные сразу в «панасоник рус» ведут.

[vsespb]

да, официальный

[Piskov]

У вас другой набор хедеров, сравните с моим. Плюс, непонятен X-Yandex-Forward — у вас что ли форвард был с одного ящика на другой? Или, может, «Яндекс» скрывает bcc?

Только что зарегистрировался на gmail еще раз — всё на месте.

[aik]

у вас что ли форвард был с одного ящика на другой?

Не было.

Или, может, «Яндекс» скрывает bcc?

Может. Похоже, что он это и делает.

На другой адрес зарегистрировался — там пришло с bcc письмо.

[grigkar]

Во всех таких крупных компаниях хватает костылей, все из-за неповоротливости гигантов.

[Grox]

Странно, что всех волнует неправильная настройка почтового сервера, а не то, что ваш пароль в открытом виде уходит на почту нескольким третьим лицам. Это мало того что нарушает вашу приватность, так ещё и потенциально способ слить все данные о клиентах, если доступ к одному из почтовых ящиков будет получен каким либо «сторонним» человеком.

[ivanko]

Спасибо, кэп!

[Piskov]

Дело не в заголовке: присутствовать он может, другое дело, что из него должны быть при отправке выпилены все адреса, кроме вашего. Плюс, всё зависит еще и от клиента: «Яндекс почта», например, не показывает людей в bcc (видимо, обрезает на стадии получения, на случай каких-либо ошибок); gmail показывает, всё что есть.

[Piskov]

RFC 2821 notes that some mail systems will add private headers showing all recipients that the e-mail was sent to, thus leaking the Bcc: list.

Ну и т. д. en.wikipedia.org/wiki/Blind_carbon_copy#Security_considerations

[zorgrhrd]

Времена такие, утечка паролей на гиктайм, неверная конфигурация почтового сервера на хабр.

[dinikin]

Похожая проблема была и у украинского Альфабанка, официальные обращения через сайт дублировались на сомнительный email

[TerminusMKB]

Ничего, сейчас быстро пофиксят, и копии продолжат уходить тем трём людям, но уже без палева.

[Mofas]

В виде Скрытой Копии )

[Lonsdaleite]

Дофига сервисов пересылает пароль в открытом виде. Приходится на всякий случай стирать эти письма. А сегодня мне вон новый интернет-провайдер прислал смс с просьбой пополнить счет и моими логином и паролем.